长春市市政公用局网络规划与安全设计

2015-10-21王西贝杨薪平

企业文化·下旬刊 2015年8期

王西贝　杨薪平

摘要：本文讨论了长春市政公用局二期网络工程项目方案的规划和设计。该工程项目投入经费100万元，建设周期为8个月，在项目的建设过程中，本人有幸参与了整个建设方案的规划，设计、并参与了整个项目的招标、投标。该工程要求整个环境具有高效、稳定及易扩容性、整套环境要具备足够的安全性。

关键词：网络设计；安全设计；网络关系

一、网络需求

（一）信息港专网与internet要实现物理隔离。

（二）监控大厅中的机器要能访问internet上的google地图数据和内部应用服务，其余不能访问。

（三）整个环境具备高效、稳定及易扩充性。

（四）整套环境要具备足够的安全性。

（五）市政公用

二、需求分析

监控大厅既要访问google地图，又要访问内部的应用服务，所以客户端只能与internet实现最大程度的逻辑隔离。

整套平台要做到高效稳定，其中网络的高效稳定、服务平台的高效稳定是核心。

从维管中心的整个网络结构分析，安全包括：内网的安全、外网的安全、信息港网络的安全。所以只有保障了这三个网络的安全及三套网络的安全就实现了整套网络环境的安全。

整个平台的高效由高效的网络和高效的服务响应组成。网络的高效由高处理能力、高转发能力的网络设备完成。服务的高效由集群的服务完成。

维管中心整个内部计算机环境包括：数据库服务、中间件服务、对外web服务，ArcGIS服务、客户端。其中应用服务端与数据库将会成为访问的集中点。所以服务的高效稳定性与否将会是整套平台的高效与否

三、网络规划总体设计

长春市市政公用局网络总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一性为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。

核心层由两台H3C 7503-S网络核心交换机，为接入层和大楼汇聚层提供千兆骨干连接，从而保证长春市市政公用局网络中心接入业务的不间断运行。在充分利用资源的同时可以进行集中管理。

（一）网络结构设计

针对长春市市政公用局网络的实际情况，现期局域网建设用采用吉比特以太网Gigabit Ethernet（1000Mbps）有线标准来组建整个TCP/IP网络。

（二）网络现状

本次项目主要是建设市政公用局维管中心。目前，市政公用局维管中心位在新的办公地点，长春建管中心的四楼，五楼。其中四楼主要用于系统的展示、监控及12319的办公，机房位于五楼。新的办公地点，还没有现有的网络环境。

（三）网络连接

从整体功效来说，维管中心是长春市政公用局指挥调度的核心，其网络要求具有快速、安全、准确获取、传递各种数据信息的能力，还要具有很强的综合分析、处理各类信息的能力等等，因此，部署在机房的网络设备我们选择H3C S7503高性能核心交换机和H3C S5100高性能交换机组成内部高速交换网络，以千兆光纤互联，经H3C千兆Secpath f1000防火墙与H3C 高性能路由器出Internet网，使用过公安部认证的利普隔离网阐实现互联网与信息港专网的物理隔离。

（四）IP网段的规划

为了以后整个维管中心的易扩大充性、并方便以后的路由规纳，整个IP地址的网段以172.28.x.x 16位子网掩码为总的网段，通过划分子网的形式向下划分。

服务器段：172.28.11.x/24

对外WEB服务器：172.28.80.82/29 网关：172.28.80.81

五楼监控机器与所有爱默生的监控设备一起并入 172.28.90.x/24网段

监控大厅共24台客户端，以职能结构划分VLAN。

话务组的网络权限：允许访问12319服务器、应用服务器

12319技术组网络权限：允许访问网页、储煤点服务、应用服务器

管理组：允许访问所有服务器

热力公司组网络权限：允许访问网页、应用服务器

监控机网络权限：允许访问所有内部服务器、允许访问网页

对外WEB服务器网络权限：允许内外网访问其web服务，允许监控机不受限制访问，其余一律拒绝。